CVES实验室
“CVES实验室”(www.cves.io)由团队旗下SRC组与渗透组合并而成,专注于漏洞挖掘、渗透测试与情报分析等方向。近年来我们报送漏洞总数已达八万余个,其中包含多个部级单位、多个通信运营商、Apache、Nginx、Thinkphp等,获得CNVD证书、CVE编号数百个,在不同规模的攻防演练活动中获奖无数,协助有关部门破获多起省督级别的案件。
前言
这是一个很久前的case了,起因是我一个币圈的朋友被盗币找我帮忙溯源一下嫌疑人,他加入了一个虚拟货币交流群,群中有人分享所谓的全自动板砖软件(不需要手动操作就可以自动操盘,可以说是量化软件),明眼人都知道这有可能是具有键盘记录功能的病毒或木马,而对于安全意识淡薄的群众来说面对此种诱惑难免会陷入深渊。本想来一个大规模的逆向工程,然而虚拟机关键时刻掉链子,又因为受害者仅想溯源骗子,所以我们也就不展开分析木马的运作流程与伪代码了。
分析
直接把这个程序丢进微步沙箱,等着看分析结果即可:
反病毒引擎的检测结果也是木马,关联到的特征有很多,但是对咱们溯源没什么帮助,所以直接看toot.exe分析出的域名和ip即可,这可以说是C2,所以从它入手就行。
溯源
先收集一下域名注册信息:
| 注册者 |
黄建淞 |
| 邮箱 |
[email protected] |
| 注册时间 | 2020-08-16 21:17:47 |
| 过期时间 | 2021-08-16 21:17:47 |
| 域名服务商 | 泛亚信息技术江苏有限公司 |
| 域名服务器 | ns1.4everdns.com; ns2.4everdns.com |
再扫一下ip开放端口:
看这些端口,几乎没啥可搞的,但是域名注册邮箱是个qq邮箱,可以查一下。通过QQ刚好反查到此人就在群里,并且是群主亲自邀请入群还添加了管理员。
到现在为止,始作俑者一目了然。可这两个QQ号均未实名,无奈只好暂时放弃。转念一想,可以去库里找找,碰下运气。
账号: sophy05 邮箱: 738468025@qq.com 密码: 19900331abc ip: 221.208.248.52 黑龙江省哈尔滨市账号: sophy05 邮箱: 738468025@qq.com 密码: 19901227zhj
查到了两条信息,通过搜索引擎搜用户名可以确定信息泄露源为豆瓣,用掌握到部分身份信息进行豆瓣账号申诉:
申诉成功,继续翻信息,得知犯罪嫌疑人毕业于哈尔滨师范大学,还发现了几个他同学的豆瓣账号。
原文始发于微信公众号(山海之关):社工实战:溯源比特币钓鱼程序诈骗
